De exploit die dit weekend ongeveer $292 miljoen leegzoog uit de cross-chain bridge van KelpDAO, was “waarschijnlijk” het werk van de Noord-Koreaanse Lazarus Group, met name de TraderTraitor-subunit, aldus LayerZero in een voorlopige analyse op maandag.
Aanvallers hebben zaterdag 116.500 rsETH, een liquid restaking token ondersteund door gestaked ether, uit de KelpDAO bridge gehaald, wat leidde tot opnames in de gedecentraliseerde financiële sector die meer dan $10 miljard uit het leenprotocol Aave trokken.
De aanval droeg de kenmerken van “een zeer geavanceerde staatsactor, waarschijnlijk de Lazarus Group van de DVK,” aldus LayerZero, waarbij de TraderTraitor-subunit van de groep werd gespecificeerd.
De cyberoperaties van Noord-Korea vallen onder het Reconnaissance General Bureau, dat verschillende afzonderlijke eenheden huisvest, waaronder TraderTraitor, AppleJeus, APT38 en DangerousPassword, volgens een analyse van Paradigm-onderzoeker Samczsun.
https://t.co/3vIHs3Xgs4
— LayerZero (@LayerZero_Core) April 20, 2026
Van deze subunits is TraderTraitor aangemerkt als de meest geavanceerde DVK-actor die crypto als doelwit heeft, eerder gekoppeld aan de Axie Infinity Ronin Bridge en WazirX-compromissen.
LayerZero verklaarde dat KelpDAO één verificateur had gebruikt om overdrachten in en uit de bridge goed te keuren, en voegde eraan toe dat het KelpDAO herhaaldelijk had aangespoord om in plaats daarvan meerdere verificateurs te gebruiken.
Voor de toekomst zei LayerZero dat het geen berichten meer zal goedkeuren voor toepassingen die nog steeds die configuratie gebruiken.
Waarnemers zeggen dat de exploit blootlegde hoe de bridge was gebouwd om op één enkele verificateur te vertrouwen.
Het was “een enkel faalpunt, ongeacht hoe de marketing het noemt,” vertelde Shalev Keren, mede-oprichter van cryptografisch beveiligingsbedrijf Sodot, aan Decrypt.
Eén gecompromitteerd controlepunt was voldoende om de fondsen de bridge te laten verlaten, en geen enkele audit of beveiligingscontrole had die fout kunnen herstellen zonder “eenzijdig vertrouwen uit de architectuur zelf te verwijderen,” aldus Keren.
Die visie werd gedeeld door Haoze Qiu, Blockchain Lead bij Grvt, die betoogde dat, "Kelp DAO een bridge-beveiligingsconfiguratie lijkt te hebben geaccepteerd met te weinig redundantie voor een asset van deze schaal," en voegde eraan toe dat LayerZero "ook verantwoording heeft" gezien het feit dat "de compromis infrastructuur betrof die gekoppeld was aan zijn validator-stack, zelfs als dit niet als een kernprotocolbug werd beschreven."
De aanvallers kwamen binnen drie minuten van het leegtrekken van nog eens $100 miljoen voordat een snelle zwarte lijst hen afsneed, volgens een analyse van blockchainbeveiligingsbedrijf Cyvers. De operatie was gebaseerd op het misleiden van een enkel communicatiekanaal, vertelde Cyvers CTO Meir Dolev aan Decrypt.
Aanvallers manipuleerden twee van de lijnen die de verificateur gebruikte om te controleren of een opname daadwerkelijk had plaatsgevonden op Unichain, voedden een nep “ja” op die lijnen in, en schakelden vervolgens de resterende lijnen offline om de verificateur te dwingen te vertrouwen op de gecompromitteerde lijnen.
“De kluis was in orde. De bewaker was eerlijk. Het deurmechanisme werkte correct,” zei Dolev. “De leugen werd direct ingefluisterd aan de partij wiens woord de deur opende.”
Maar terwijl LayerZero, wiens infrastructuur de leeggehaalde bridge aandreef, wees naar Lazarus als de waarschijnlijke dader, zag Cyvers af van dezelfde toeschrijving in zijn eigen analyse.
Sommige patronen komen overeen met DVK-gerelateerde operaties in verfijning, schaal en gecoördineerde uitvoering, zei Dolev, maar geen portefeuilleclustering die aan de groep is gekoppeld, is bevestigd.
De kwaadaardige nodesoftware was ontworpen om zichzelf te wissen zodra de aanval was voltooid, waarbij binaire bestanden en logboeken werden verwijderd om het spoor van de aanvallers in realtime en in de post-mortem te verdoezelen, voegde hij eraan toe.
Eerder deze maand hebben aanvallers ongeveer $285 miljoen leeggehaald uit het op Solana gebaseerde perpetuals-protocol Drift, in een exploit die later werd toegeschreven aan Noord-Koreaanse agenten.
Dolev merkte op dat de Drift-hack “zeer verschillend was qua voorbereidingen en uitvoering,” maar beide aanvallen vereisten lange doorlooptijden, diepgaande expertise en aanzienlijke middelen om uit te voeren.
Cyvers vermoedt dat de gestolen fondsen naar dit Ethereum-adres zijn overgemaakt, in overeenstemming met een afzonderlijk rapport van on-chain onderzoeker ZachXBT die het samen met vier andere markeerde. De aanvalsadressen werden gefinancierd via coin mixer Tornado Cash, volgens ZachXBT.
